【文章內(nèi)容簡介】 中可以重復(fù)使用。為了減少網(wǎng)絡(luò)帶寬消耗只有主控路由器才可以周期性的發(fā)送VRRP通告報(bào)文。備份路由器在連續(xù)三個(gè)通告間隔內(nèi)收不到VRRP或收到優(yōu)先級為0的通告后啟動(dòng)新的一輪VRRP選舉[4]。 　　在VRRP路由器組中，按優(yōu)先級選舉主控路由器，VRRP協(xié)議中優(yōu)先級范圍是0—255。若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同，則稱該虛擬路由器作VRRP組中的IP地址所有者；IP地址所有者自動(dòng)具有最高優(yōu)先級：255。優(yōu)先級0一般用在IP地址所有者主動(dòng)放棄主控者角色時(shí)使用?？膳渲玫膬?yōu)先級范圍為1—254。優(yōu)先級的配置原則可以依據(jù)鏈路的速度和成本、路由器性能和可靠性以及其它管理策略設(shè)定。主控路由器的選舉中，高優(yōu)先級的虛擬路由器獲勝，因此，如果在VRRP組中有IP地址所有者，則它總是作為主控路由的角色出現(xiàn)。對于相同優(yōu)先級的候選路由器，按照IP地址大小順序選舉。VRRP還提供了優(yōu)先級搶占策略，如果配置了該策略，高優(yōu)先級的備份路由器便會(huì)剝奪當(dāng)前低優(yōu)先級的主控路由器而成為新的主控路由器。 　　為了保證VRRP協(xié)議的安全性，提供了兩種安全認(rèn)證措施：明文認(rèn)證和IP頭認(rèn)證。明文認(rèn)證方式要求：在加入一個(gè)VRRP路由器組時(shí)，必須同時(shí)提供相同的VRID和明文密碼。適合于避免在局域網(wǎng)內(nèi)的配置錯(cuò)誤，但不能防止通過網(wǎng)絡(luò)監(jiān)聽方式獲得密碼。IP頭認(rèn)證的方式提供了更高的安全性，能夠防止報(bào)文重放和修改等攻擊。 靜態(tài)路由技術(shù)及規(guī)劃 靜態(tài)路由一般是由管理員手工設(shè)置的路由，而動(dòng)態(tài)路由則是路由器中的動(dòng)態(tài)路由協(xié)議根據(jù)網(wǎng)絡(luò)拓?fù)淝闆r和特定的要求自動(dòng)生成的路由條目。 什么樣的路由器要使用什么樣的路由協(xié)議，是由網(wǎng)絡(luò)的管理策略直接決定的。一般中小型的網(wǎng)絡(luò)，網(wǎng)絡(luò)拓?fù)浔容^簡單，不存在線路冗余等因素，所以通常采用靜態(tài)路由的方式來配置。但是大型網(wǎng)絡(luò)網(wǎng)絡(luò)拓?fù)鋸?fù)雜，路由器數(shù)量大，線路冗余多，管理人員相對較少，要求管理效率要高等原因，通常都會(huì)使用動(dòng)態(tài)路由協(xié)議，適當(dāng)?shù)妮o以靜態(tài)路由的方式。 靜態(tài)路由基本上都是人為配置的路由，或由人為的相關(guān)設(shè)置自動(dòng)生成的，如你配置了IP地址就會(huì)產(chǎn)生一個(gè)直連路由[5]。 一般的靜態(tài)路由設(shè)置經(jīng)過保存后重起路由器都不會(huì)消失，但相應(yīng)端口關(guān)閉或失效時(shí)就會(huì)有相應(yīng)的靜態(tài)路由消失。反而動(dòng)態(tài)路由卻會(huì)消失，因?yàn)閯?dòng)態(tài)路由要在動(dòng)態(tài)路由協(xié)議正常運(yùn)行的前提下才能產(chǎn)生的。 ARP技術(shù)及規(guī)劃 在局域網(wǎng)中，通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的。ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信流量使網(wǎng)絡(luò)阻塞[6]。 ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫保瑤锩媸怯心繕?biāo)主機(jī)的MAC地址的。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。 每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，如下所示： A aaaaaaaaaaaa B bbbbbbbbbbbb C cccccccccccc D dddddddddddd 我們以主機(jī)A（）向主機(jī)B（）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應(yīng)的IP地址，主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo)MAC地址是“”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問：“ ？”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問，只有主機(jī)B接收到這個(gè)幀時(shí)，才向主機(jī)A做出這樣的回應(yīng)：“”。這樣，主機(jī)A就知道了主機(jī)B的MAC地址，它就可以向主機(jī)B發(fā)送信息了。同時(shí)它還更新了自己的ARP緩存表，下次再向主機(jī)B發(fā)送信息時(shí)，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機(jī)制，在一段時(shí)間內(nèi)如果表中的某一行沒有使用，就會(huì)被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。 從上面可以看出，ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人，那么就很容易實(shí)現(xiàn)在以太網(wǎng)上的ARP欺騙。對目標(biāo)A進(jìn)行欺騙，A去Ping主機(jī)C卻發(fā)送到了DDDDDDDDDDDD這個(gè)地址上。如果進(jìn)行欺騙的時(shí)候，把C的MAC地址騙為DDDDDDDDDDDD，于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了。這正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么，嗅探成功。 A對這個(gè)變化一點(diǎn)都沒有意識(shí)到，但是接下來的事情就讓A產(chǎn)生了懷疑。因?yàn)锳和C連接不上了。D對接收到A發(fā)送給C的數(shù)據(jù)包可沒有轉(zhuǎn)交給C。 做“man in the middle”，進(jìn)行ARP重定向。打開D的IP轉(zhuǎn)發(fā)功能，A發(fā)送過來的數(shù)據(jù)包，轉(zhuǎn)發(fā)給C，好比一個(gè)路由器一樣。不過，假如D發(fā)送ICMP重定向的話就中斷了整個(gè)計(jì)劃。 D直接進(jìn)行整個(gè)包的修改轉(zhuǎn)發(fā)，捕獲到A發(fā)送給C的數(shù)據(jù)包，全部進(jìn)行修改后再轉(zhuǎn)發(fā)給C，而C接收到的數(shù)據(jù)包完全認(rèn)為是從A發(fā)送來的。不過，C發(fā)送的數(shù)據(jù)包又直接傳遞給A，倘若再次進(jìn)行對C的ARP欺騙?，F(xiàn)在D就完全成為A與C的中間橋梁了，對于A和C之間的通訊就可以了如指掌了。 NAT技術(shù)及規(guī)劃 隨著Internet的發(fā)展和網(wǎng)絡(luò)應(yīng)用的增多，IPv4地址枯竭已成為制約網(wǎng)絡(luò)發(fā)展的瓶頸。盡管IPv6可以從根本上解決IPv4地址空間不足問題，但目前眾多網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用大多是基于IPv4的，因此在IPv6廣泛應(yīng)用之前，一些過渡技術(shù)（如CIDR、私網(wǎng)地址等）的使用是解決這個(gè)問題最主要的技術(shù)手段[7]。 其中，使用私網(wǎng)地址之所以能夠節(jié)省IPv4地址，主要是利用了這樣一個(gè)事實(shí)：一個(gè)局域網(wǎng)中在一定時(shí)間內(nèi)只有很少的主機(jī)需訪問外部網(wǎng)絡(luò)，而80%左右的流量只局限于局域網(wǎng)內(nèi)部。由于局域網(wǎng)內(nèi)部的互訪可通過私網(wǎng)地址實(shí)現(xiàn)，且私網(wǎng)地址在不同局域網(wǎng)內(nèi)可被重復(fù)利用，因此私網(wǎng)地址的使用有效緩解了IPv4地址不足的問題。當(dāng)局域網(wǎng)內(nèi)的主機(jī)要訪問外部網(wǎng)絡(luò)時(shí)，只需通過NAT技術(shù)將其私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址即可，這樣既可保證網(wǎng)絡(luò)互通，又節(jié)省了公網(wǎng)地址。 作為一種過渡方案，NAT通過地址重用的方法來滿足IP地址的需要，可以在一定程度上緩解IP地址空間枯竭的壓力。它具備以下優(yōu)點(diǎn)：l 對于內(nèi)部通訊可以利用私網(wǎng)地址，如果需要與外部通訊或訪問外部資源，則可通過將私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址來實(shí)現(xiàn)。l 通過公網(wǎng)地址與端口的結(jié)合，可使多個(gè)私網(wǎng)用戶共用一個(gè)公網(wǎng)地址。l 通過靜態(tài)映射，不同的內(nèi)部服務(wù)器可以映射到同一個(gè)公網(wǎng)地址。外部用戶可通過公網(wǎng)地址和端口訪問不同的內(nèi)部服務(wù)器，同時(shí)還隱藏了內(nèi)部服務(wù)器的真實(shí)IP地址，從而防止外部對內(nèi)部服務(wù)器乃至內(nèi)部網(wǎng)絡(luò)的攻擊行為。l 方便網(wǎng)絡(luò)管理，如通過改變映射表就可實(shí)現(xiàn)私網(wǎng)服務(wù)器的遷移，內(nèi)部網(wǎng)絡(luò)的改變也很容易。 NAT的基本原理是僅在私網(wǎng)主機(jī)需要訪問Internet時(shí)才會(huì)分配到合法的公網(wǎng)地址，而在內(nèi)部互聯(lián)時(shí)則使用私網(wǎng)地址。當(dāng)訪問Internet的報(bào)文經(jīng)過NAT網(wǎng)關(guān)時(shí)，NAT網(wǎng)關(guān)會(huì)用一個(gè)合法的公網(wǎng)地址替換原報(bào)文中的源IP地址，并對這種轉(zhuǎn)換進(jìn)行記錄；之后，當(dāng)報(bào)文從Internet側(cè)返回時(shí)，NAT網(wǎng)關(guān)查找原有的記錄，將報(bào)文的目的地址再替換回原來的私網(wǎng)地址，并送回發(fā)出請求的主機(jī)。這樣，在私網(wǎng)側(cè)或公網(wǎng)側(cè)設(shè)備看來，這個(gè)過程與普通的網(wǎng)絡(luò)訪問并沒有任何的區(qū)別。 ACL技術(shù)及規(guī)劃 ACL技術(shù)在路由器中被廣泛采用，它是一種基于包過濾的流控制技術(shù)。標(biāo)準(zhǔn)訪問控制列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。ACL通常應(yīng)用在企業(yè)的出口控制上，可以通過實(shí)施ACL，可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。隨著局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的增加，一些企業(yè)已經(jīng)開始使用ACL來控制對局域網(wǎng)內(nèi)部資源的訪問能力，進(jìn)而來保障這些資源的安全性。 ACL技術(shù)可以有效的在三層上控制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源的訪問，它可以具體到兩臺(tái)網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)應(yīng)用，也可以按照網(wǎng)段進(jìn)行大范圍的訪問控制管理，為網(wǎng)絡(luò)應(yīng)用提供了一個(gè)有效的安全手段[8]。一方面，采用ACL技術(shù)，網(wǎng)絡(luò)管理員需要明確每一臺(tái)主機(jī)及工作站所在的IP子網(wǎng)并確認(rèn)它們之間的訪問關(guān)系，適用于網(wǎng)絡(luò)終端數(shù)量有限的網(wǎng)絡(luò)。對于大型網(wǎng)絡(luò)，為了完成某些訪問控制甚至不得不浪費(fèi)很多的IP地址資源。同時(shí)，巨大的網(wǎng)絡(luò)終端數(shù)量，同樣會(huì)增加管理的復(fù)雜度和難度。另一方面，維護(hù)ACL不僅耗時(shí)，而且在較大程度上增加路由器開銷。訪問控制列表的策略性非常強(qiáng)，并且牽涉到網(wǎng)絡(luò)的整體規(guī)劃，它的使用對于策略制定及網(wǎng)絡(luò)規(guī)劃的人員的技術(shù)素質(zhì)要求比較高。因此，是否采用ACL技術(shù)及在多大的程度上利用它，是管理效益與網(wǎng)絡(luò)安全之間的一個(gè)權(quán)衡。 訪問控制列表從概念上來講并不復(fù)雜，復(fù)雜的是對它的配置和使用，許多初學(xué)者往往在使用訪問控制列表時(shí)出現(xiàn)錯(cuò)誤。下面是對幾種訪問控制列表的簡要總結(jié)。l 標(biāo)準(zhǔn)IP訪問控制列表： 一個(gè)標(biāo)準(zhǔn)IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個(gè)操作。編號范圍是從1到99的訪問控制列表是標(biāo)準(zhǔn)IP訪問控制列表。l 擴(kuò)展IP訪問控制列表：擴(kuò)展IP訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表具有更多的匹配項(xiàng)，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。編號范圍是從100到199的訪問控制列表是擴(kuò)展IP訪問控制列表。l 命名的IP訪問控制列表：所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表，同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表，定義過濾的語句與編號方式中相似。 l 標(biāo)準(zhǔn)IPX訪問控制列表：標(biāo)準(zhǔn)IPX訪問控制列表的編號范圍是800899，它檢查IPX源網(wǎng)絡(luò)號和目的網(wǎng)絡(luò)號，同樣可以檢查源地址和目的地址的節(jié)點(diǎn)號部分。 　　l 擴(kuò)展IPX訪問控制列表： 擴(kuò)展IPX訪問控制列表在標(biāo)準(zhǔn)IPX訪問控制列表的基礎(chǔ)上，增加了對IPX報(bào)頭中以下幾個(gè)字段的檢查，它們是協(xié)議類型、源Socket、目標(biāo)Socket。擴(kuò)展IPX訪問控制列表的編號范圍是900999。 　　命名的IPX訪問控制列表與命名的IP訪問控制列表一樣，命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表，同樣有標(biāo)準(zhǔn)和擴(kuò)展之分。 SSL VPN技術(shù)及規(guī)劃SSLVPN、IPSecVPN、網(wǎng)絡(luò)安全VPN是一項(xiàng)非常實(shí)用的技術(shù)，它可以擴(kuò)展企業(yè)的內(nèi)部網(wǎng)絡(luò)，近期，傳統(tǒng)的IPSecVPN出現(xiàn)了客戶端不易配置等問題，相對而言，SSLVPN作為一種全新的技術(shù)正在被廣泛關(guān)注，SSL利用內(nèi)置在每個(gè)Web瀏覽器中的加密和驗(yàn)證功能，并與安全網(wǎng)關(guān)相結(jié)合，提供安全遠(yuǎn)程訪問企業(yè)應(yīng)用的機(jī)制，這樣，遠(yuǎn)程移動(dòng)用戶可以輕松訪問公司內(nèi)部B/S和C/S應(yīng)用及其他核心資源[9]。SSLVPN是指應(yīng)用層的VPN，基于HTTPS來訪問受保護(hù)的應(yīng)用。目前常見的SSLVPN方案有兩種：直路方式和旁路方式。直路方式中，當(dāng)客戶端需要訪問一應(yīng)用服務(wù)器時(shí)，首先，客戶端和SSLVPN網(wǎng)關(guān)通過證書互相驗(yàn)證雙方；其次，客戶端和SSLVPN網(wǎng)關(guān)之間建立SSL通道。然后，SSLVPN網(wǎng)關(guān)作為客戶端的代理和應(yīng)用服務(wù)器之間建立TCP連接，在客戶端和應(yīng)用服務(wù)器之間轉(zhuǎn)發(fā)數(shù)據(jù)。旁路方式與直路不同的是，為了減輕在進(jìn)行SSL加解密時(shí)的運(yùn)行負(fù)擔(dān)，也可以獨(dú)立出SSL加速設(shè)備，在SSLVPNServer接收到HTTPS請求時(shí)將SSL加密的過程交給SSL加速設(shè)備來處理，當(dāng)SSL加速設(shè)備處理完之后再將數(shù)據(jù)轉(zhuǎn)發(fā)給SSLVPNServer。 保密性就是對抗對手的被動(dòng)攻擊，保證不泄漏給未經(jīng)授權(quán)的人。由于使用的是SSL協(xié)議，該協(xié)議是介于HTTP層及TCP層的安全協(xié)議。傳輸?shù)膬?nèi)容是經(jīng)過加密的。SSLVPN通過設(shè)置不同級別的用戶，設(shè)置不同級別的權(quán)限來屏蔽非授權(quán)用戶的訪問。用戶的設(shè)置可以有設(shè)置帳戶、使用證書、Radius機(jī)制等不同的方式。SSL數(shù)據(jù)加密的安全性由加密算法來保證，各家公司的算法可能都不一樣。黑客想要竊聽網(wǎng)絡(luò)中的數(shù)據(jù)，就要能夠解開這些加密算法后的數(shù)據(jù)包。 完整性就是對抗對手主動(dòng)攻擊，防止被未經(jīng)授權(quán)的篡改。由于SSLVPN一般在GATEWAY上或者在防火墻后面，把企業(yè)內(nèi)部需要被授權(quán)外部訪問的內(nèi)部應(yīng)用注冊到SSLVPN上，這樣對于GATEWAY來講，需要開通443這樣的端口到SSLVPN即可，而不需要開通所有內(nèi)部的應(yīng)用的端口，如果有黑客發(fā)起攻擊也只能到SSLVPN這里，攻擊不到內(nèi)部的實(shí)際應(yīng)用。 可用性就是保證及系統(tǒng)確實(shí)為授權(quán)使用者所用。前面已經(jīng)提到，對于SSLVPN要保護(hù)的后臺(tái)應(yīng)用，可以為其設(shè)置不同的級別，只有相應(yīng)級別的用戶才可以訪問到其對應(yīng)級別的資源，從而保證了的可用性。 可控性就是對及系統(tǒng)實(shí)施安全監(jiān)控。SSLVPN作為一個(gè)安全的訪問連接建立工具，所有的訪問都要經(jīng)過這個(gè)網(wǎng)關(guān)，所以記錄日志對于網(wǎng)關(guān)來說非常重要。不僅要記錄日志，還要提供完善的超強(qiáng)的日志分析能力，才能幫助管理員有效地找到可能的漏洞和已經(jīng)發(fā)生的攻擊，從而對系統(tǒng)實(shí)施監(jiān)控。 客戶端的區(qū)別是SSLVPN最大的優(yōu)勢。瀏覽器內(nèi)嵌了SSL協(xié)議，所以預(yù)先安裝了Web瀏覽器的客戶機(jī)可以隨時(shí)作為SSLVPN的客戶端。這樣，使用零客戶端的SSLVPN遠(yuǎn)程訪問的用戶可以為遠(yuǎn)程員工、客戶、合作伙伴及供應(yīng)商等，通過SSLVPN，客戶端可以在任何時(shí)間任何地點(diǎn)對應(yīng)用資源進(jìn)行訪問，也就是說是基于B/S結(jié)構(gòu)的業(yè)務(wù)時(shí)，可以直接使用瀏覽器完成SSL的VPN建立；而IPSecVPN只允許已經(jīng)定義好的客戶端進(jìn)行訪問，所以它更適用于企業(yè)內(nèi)部。 一般企業(yè)在Internet聯(lián)機(jī)入口，都是采取適當(dāng)?shù)姆蓝緜蓽y措施。不論是IPSecVPN或S